近年、個人情報や顧客情報の漏洩に関する事件がよく新聞やTVなどのメディアを賑わせるようになってきています。
ニュースで目にすることも多くなってきたので、
- 自分の会社は大丈夫だろうか?
- 何か対策をしないといけないのではないだろうか?
- でも何をしたら良いの?
と思っている方も多いようです。そのためこのページのアクセス数も増えています。
今回のこの記事では、サイバーセキュリティとして最も重要な「情報漏洩対策」について、企業として誰でもすぐにできる7つのポイントを整理しましたので、「セキュリティ対策はこれかから」と思っている中小企業の方は、このページの情報からまず実施してみましょう!
情報漏洩は企業の信頼にかかわる
記憶に新しいところでは、進研ゼミなどで知られるベネッセコーポレーションの大規模な個人情報流出事件があります。
参考ベネッセ個人情報漏洩事件のすべて<企業は加害者?それとも被害者?>
これはベネッセの3504万件もの個人情報がデーターベースから抜き取られ、外部に流出し、名簿業者などを通してDM業者などに転売、利用されてしまったというものです。
この事件では情報を実際に流出させてしまったのは、協力会社の社員として実際に顧客データーベースの管理・保守を担当していた人物であったとのことですが、この流出の結果、ベネッセは多大な損害を被っただけでなく、顧客からの信頼を大きく失う結果となりました。
最近、進研ゼミはジャストシステムのスマイルゼミの勢いにかなり押されていると聞きますがが、こういった企業としての信用の失墜もそこには要因としてあるのでしょう。
このように、情報の漏洩は一旦発生してしまうと、企業の信用を著しく低下させ、ともすれば経営の存続にかかわる問題にまで発展してしまうほど重要な問題なのです。
では、そういった情報漏洩が起こらないようにするにはどうすれば良いのでしょうか。対策を考える前に、原因を知ることが重要です。
情報漏洩の原因は?
上記の図からもわかるように、「管理ミス」「誤操作」「紛失・置き忘れ」など、情報漏洩の約7〜8割はヒューマンエラーによるものです。
このような現状を知った上で、「情報漏洩しない、させない」ためにはどのようにするのが良いのかを考えていく必要があります。それぞれの原因を具体的に見ていきましょう。
管理ミス
「管理ミス」と言ってもどのようことかわかりにくいかと思いますが、JNSAのデータによると、下記のような事例が挙げられています。
- 引越し後に個人情報の行方がわからなくなった(例えば誤廃棄)
- 個人情報の受け渡し確認が不十分で、受け取ったはずの個人情報が紛失した
- 情報の公開、管理ルールが明確化されておらず、誤って開示してしまった
企業において情報管理のルールやセキュリティポリシーなどがあるにもかかわらず、そのルールに則った管理ができていなかったことになります。もしくはそのようなルールが全く決まっていない可能性もあります。
これは、従業者に対してセキュリティ教育などを徹底して行い、個人情報を含む会社の情報に関する管理手順の徹底が重要であることを示しています。
誤操作
メールやFAXの誤送信などがこれに当てはまります。宛先を間違える、内容を間違える、添付ファイルを間違えるなど、これこそヒューマンエラーの最たるものです。
このような間違え、ミスを起こさないように徹底した従業員へのセキュリティ教育が必要ですね。
不正アクセス
管理ミスや誤操作と比較すると割合は低いですが、インターネット経由の外部からの不正アクセスは、継続的に行われており、その攻撃手法も進化しています。これはマルウェアなどを伴う攻撃が多いため、被害にあうと多くの個人情報が盗み取られることにつながってしまうので注意が必要です。
この「不正アクセス」への対策は、「ウイルス対策ソフトを導入する」など、基本的なセキュリティ対策が重要になります。
紛失・置き忘れ
仕事上パソコンなどの情報機器やデータを外部に持ち出し、紛失・置き忘れしてしまうケースです。最近では、タブレット型のパソコンや、スマートフォンにもたくさんの情報が入っていますので、その取り扱いには十分な注意が必要になります。酔っ払って置き忘れなんて、頻発していそうですが、、最悪なことですよね。。
この「紛失・置き忘れ」は高い割合で発生していますので、データの持ち出しに厳格なルールを設けるなどの対策が必要になります。
不正な持ち出し・盗難
前述のベネッセホールディングスでの情報漏洩の事例と同じです。従業員へのセキュリティ教育はもちろんのこと、外部委託先もしっかりと発注元は管理しなければなりません。
情報漏洩対策のポイント
では、具体的に情報漏洩が起こらないようにするにはどうすれば良いのでしょうか。対策としては、大きく2つに分けられます。
- 情報を扱う人に対する啓蒙と意識の向上を図ること
- 情報システム側で容易に持ち出せないように、そして持ち出しても活用できないような仕組みを実現すること
これは、情報の保全はそれを使う人と扱うシステム両方の側で対策を進めるべきであり、どちらか一方では、不十分であると考え方に立っています。
さて、具体的に情報を扱う人、そしてシステムに対する対策とは具体的にどのようなことをすれば良いのでしょうか。さらに考えていきましょう。
情報を扱う人の7つの対策
情報を扱う人、つまり我々はどのようなことに気を付けるべきなのでしょうか。
独立行政法人情報処理推進機構セキュリティセンター(IPA)では次のようなことに気を付けるべきと指針を示しています。
参考独立行政法人 情報処理推進機構セキュリティセンター「情報漏えい対策のしおり」
1 情報は持ち出さない
- 企業や組織の情報資産を外部に持ち出さない
- 具体的にはノートパソコンやUSBメモリ等を許可なく自宅に持ち帰るなど
2 情報の安易な放置はしない
- 情報資産を暗号化等の対策をしないままに放置しない
- 具体的には重要書類等を机の上に放置しない
- パソコンを画面ロックしないまま放置しない
3 情報の安易な廃棄をしない
- 情報資産を対策無きまま安易に廃棄しない
- 消去等を必ず実施する
- 具体的にはパソコンの廃棄を行う場合は必ずハードディスク上のデータは消去
- 物理的に破壊する
4 不要な持込みの禁止
- 私用機器(パソコン等)を不用意に企業内に持ち込まない
- 個人所有のノートPCを持込み、企業内のネットワークに接続する
5 鍵をかけ、貸し借り禁止
- 個人に与えられたアクセス権などの権限を、許可なく他人に貸与や譲渡をしない
- 自分の持つユーザアカウントを他人に貸与する
6 情報の公言の禁止
- 業務上知りえた情報を許可なく他人に公言しない
- 自分が担当する顧客の個人情報を他人に不要に話す
7 まず報告
万が一に情報漏洩を起こしたら、自分で判断せず、まず報告する
これらは“最低限行っておくべき”の項目
これらのことを守っていくだけで、情報漏洩のかなりの部分が防げるはずです。
なかでも情報漏洩の原因として多いのはパソコンやUSBメモリなどの置き忘れ、紛失等による流出です。これによるものが情報漏洩の約半数を占めます。これは、1の「持ち出さない」を徹底することでなくすことが出来ます。
情報システムにおける対策
次に、情報システムにおける対策とはいったいどういうものかについて、見ていきましょう。
まず基本概念として、情報セキュリティの3要素であるCIAの確保が重要です。
機密性
機密性とは、その情報やシステムにアクセスすることを許可されたものだけがアクセスできるようにすることを示し、ユーザーIDやパスワードのよる認証、またフォルダ等に対するアクセス制限の付与等が挙げられます。
完全性
完全性とは、情報及び処理方法が、正確であること及び完全であることを担保することです。
これは故意や過失等を問わず、データが常に適切な状態にあり、故意に改ざん等がされたものではないという状態にあることを確保することです。具体的には文書やWebページ等のデジタル署名などが挙げられます。
可用性
最後の可用性とは、その情報を使用できる適切な権限を持ったものが、常に必要な時に適切にアクセスできることを示します。
これは機器の電源の冗長化や、ネットワークの増強、システムの二重化による耐障害性の向上などが挙げられます。
まとめ
このように、情報漏洩のその対策と簡単に言っても、大きく分けて2つあり、そしてそれぞれさらに詳細な項目を含んでいます。
これらを一つ一つ実現していくこと、そして利用する一人一人が意識を高めていくことが情報漏洩を限りなくゼロに近づけることになるのです。